Daten als Währung – wie die EU Warenkaufrichtlinie und die EU Richtlinie über Digitale Inhalte und Dienstleistungen Datenschutz und Datennutzung vereinbaren sollen und welche Möglichkeiten sich daraus für die Schweiz ergeben.
Wirtschaftlich ist das „Bezahlen-mit-den-eigenen-Daten“ Alltag. So zum Beispiel, wenn wir, mehr oder weniger bewusst, die Übermittlung unserer IP-Adresse in Kauf nehmen, oder zähneknirschend eine umfassenden Cookie-Erklärung vorbehaltlos annehmen. Aber auch unbewusst, wenn wir einer App unsere Standort- oder Gesundheitsdaten liefern.
1. Regelungsgegenstand WKRL und DIDRL
Mit der europäischen Warenkaufrichtlinie (Richtlinie (EU) 2019/771 („WKRL“)) sowie der Richtlinie über vertragliche Aspekte der Bereitstellung digitaler Inhalte & digitaler Dienstleistungen (Richtlinie (EU) 2019/770 („DIDRL“)) soll dieser oben genannten Realität Rechnung getragen werden. Ziel der Richtlinien ist es das EU-Kaufrecht zu harmonisieren, vor allem aber den Verbraucherschutz für Produkte zu stärken, die mit digitalen Inhalten oder Dienstleistungen einhergehen & damit zu einem gewissen Austausch oder einer Bereitstellung von Nutzerdaten führen.
Des Weiteren fallen auch gesundheitsbezogene Anwendungen darunter, sofern diese nicht ausschliesslich von einem Angehörigen eines Gesundheitsberufs bereitgestellt werden, also rezeptpflichtig sind.
Ein Fitnesstracker, der als Armband alle körperlichen Daten wie Herzschlag, Schlafverhalten, Stresslevel, Kalorienverbrauch & ähnliches sammelt, würde somit beispielsweise unter die WKRL fallen, während eine App, die dieselben Daten sammelt & auf ein Smartphone geladen wird, unter die DIDRL fallen würde.
Die Bereitstellung von Daten durch den Nutzer ist somit nicht als monetäre aber dennoch vollwertige Gegenleistung zu sehen. Während die DIDRL Daten nicht als Waren klassifiziert gibt es dennoch das «Geschäftsmodell», bei dem der Verbraucher kein Geld für die Inanspruchnahme von Diensten zahlt, dem Unternehmer jedoch seine personenbezogenen Daten zur Verfügung stellt. In genau dieser modernen Entwicklung liegt eine Herausforderung für den Datenschutz: Die Regelugen der DSGVO sollen gegenüber den Regelungen der Richtlinien Vorrang haben. Die DSGVO sieht aber Widerrufsrechte & ein Kopplungsverbot vor, die im Anwendungsfall Auswirkungen auf die vertraglichen Leistungen, vor allem aber auf die Möglichkeiten der Datennutzung haben.
Während der Umsetzung der Richtlinien in nationales Recht durch Neuerungen im Deutschen Bürgerlichen Gesetzbuch (BGB) ist eine datenschutzrechtliche Diskussion um eine weniger restriktive, mehr an der Aktualität orientierten Auslegungsweise der datenschutzrechtlichen Bestimmungen entstanden.
Es scheint als zeichnen sich hier zwei gegenläufige Trends ab: Der Verbraucherschutz soll über einen neuen «digitalen» Vertragstypus gestärkt werden, der Datenschutz hingegen in den Dienst der ökonomischen Realität gestellt werden & als Vehikel zur Nutzbarkeit, letztlich der Umsetzung dieser Verträge, Anwendung finden.
Die Schweiz liegt mit ihren Gesetzesneuerungen bereits in diesem Trend: Keine erhöhten Anforderungen an die Datenverarbeitung im Zuge des neuen DSG; kein Rechtfertigungszwang, sondern Transparenz.
2. Das Verhältnis zum Datenschutz
In der Vertragskonstellation «Zugang zu personenbezogenenen Daten gegen Zugang zu digitalen Inhalten» stellen Daten unfraglich einen «tauglichen Leistungsgegenstand» dar.
Während dies zivilrechtlich unproblematisch erscheinen mag, ist diese Vertragskonstellation datenschutzrechtlich eine Herausforderung, da diese mit der aktuellen Auslegung der DSGVO kaum vereinbar ist.
Von dem Erlaubnistatbestand Art. 6 I b DSGVO als Datenverarbeitung zur Vertragserfüllung ist dies nicht gedeckt. Erst die datenschutzrechtliche Einwilligung ist ausreichend, damit der Gläubiger die Daten kommerzialisieren kann. Diese Einwilligung ist jedoch gem. Art. 7 III DSGVO jederzeit frei widerruflich.
Fraglich ist mithin, was die verbleibende vertragliche Gegenleistung ist. Hier kollidiert die «abwehrrechtliche Konzeption» der DSGVO mit dem synallagmatischen Gegenseitigkeitsverhältnis zivilrechtlicher Verträge & somit der wirtschaftlichen Realität.
3. Lösungsansätze für den «Konflikt» mit der DSGVO
Als Lösung des Konflikts zwischen Vertragsbestand & Datenschutz wird vorgeschlagen, die Widerruflichkeit der Einwilligung als dispositiv, also einschränkbar zu verstehen & den Datenschutz im Sinne eines „Datenschuldrechts“ auf diesen neuen Vertragstypus auszurichten.
Allein die Verknüpfung von Leistung & Gegenleistung verstösst nämlich noch nicht gegen das Kopplungsverbot. Eine Kopplung von Leistung & Datenhingabe ist vor allem dann zulässig, wenn die Daten massgebliche Grundlage für das Rechtsgeschäft sind. So wird aus dem Kopplungsverbot eine Transparenzfunktion: „wer sich mit Daten bezahlen lassen will, muss dies auch offenlegen.
Bei einem Fitesstracker wäre somit zunächst festzustellen, ob der Nutzer eine einmalige Anschaffungsgebühr entrichtet hat oder ob dieser mittels der einwilligungsbasierten Weiterverarbeitung seiner Gesundheitsdaten zahlt.
Der Sinn & Zweck des Geräts liegt darin Daten über zurückgelegte Schrittzahlen, Gewicht, Puls, Schlafphasen, Aktivität & Standort aufzuzeichnen. Diese Daten können anschliessend auf den Server des Anbieters übertragen, sowie im Rahmen von „Partnerschaften mit Dritten“ weitergegeben werden. Die Daten können ebenfalls zur Verbesserung & Personalisierung der Dienste sowie Entwicklung neuer Dienste genutzt werden.
Obwohl die Verarbeitung der gesundheitsbezogenen Daten sowohl gemäss Art. 5 neuem Schweizer DSG, als gemäss Art.9 DSGVO einem Einwilligungsvorbehalt unterliegt, ist deren Nutzung nicht mit einer solchen abgedeckt. Die Nutzung dieser Daten wird als zur „Bereitstellung und Aufrechterhaltung der Dienste“ bezeichnet & damit über „Erfüllung des Vertragszwecks“ abgebildet. Dass hier gerade diese Datennutzung Gegenstand des Vertrages ist & ein Fitnesstracker ansonsten seinen Zweck nicht erfüllen kann, macht eine Einwilligung aber dennoch nicht entbehrlich.
Zumindest ist die Weitergabe an Dritte & Nutzung der Daten für Zwecke wie Serviceoptimierung oder Ermittlung von Rabatten einwilligungsbedürftig. Allerdings lässt sich am Beispiel des Fitnesstrackers sehen, dass selbst wenn eine eigentlich einwilligungsbedürftige Datenverarbeitung (der Gesundheitsdaten) über den Vertragszweck oder eine bei Vertragsschluss diesbezüglich abgegebene Einwilligung abbilden lässt, so wird das kommerzielle Interesse regelmässig die darüberhinausgehenden Daten betreffen. Und diese sind nicht massgebliche Grundlage für das Rechtsgeschäft mit Fitnesstrackern. Also bleibt hier der Konflikt der DSGVO Anforderungen an die Datenverarbeitung gegenüber der Datennutzung, die der Vertragstyp mit „digitalen Inhalten“ vorsieht.
4. Rechtslage in der Schweiz
Das Schweizer Datenschutzrecht sieht auch in seiner Neufassung als Verarbeitungsgrundlage kein Konzept der „Rechtfertigung“ vor. Massgeblich ist vielmehr das Transparenzgebot (ausgenommen sensitive Daten, zu denen auch die von einem Fitnesstracker erhobenen Gesundheitsdaten gehören). Die Erforderlichkeit eines Rechtsgrundes für eine Verarbeitung ist somit im Gegensatz zur DSGVO die Ausnahme & nicht die Regel.
Gemäss Artikel 6 III nDSG können Personendaten nur zu einem bestimmten & für die betroffene Person erkennbaren Zweck beschafft werden; sie dürfen nur so bearbeitet werden, dass es mit diesem Zweck vereinbar ist. Ferner besteht eine Mitteilungspflicht über die Identität & Kontaktangaben des Verantwortlichen, den Zweck der Datenbearbeitung & nötigenfalls die Empfänger der Daten.
Eine gemäss Art. 6 VI nDSG ausdrückliche & freiwillige Einwilligung ist gemäss Artikel 6 VII nDSG nur zur Bearbeitung besonders schützenswerter Personendaten oder beim „Profiling mit hohem Risiko“ erforderlich.
Dort wo Einwilligungen erforderlich sind, können diese per AGB eingeholt werden, wobei zu beachten ist, dass je mehr Risiken eine Datenbearbeitung für die betroffene Person birgt, umso höher die Anforderungen an die Gültigkeit der Einwilligung sind. Bereits angekreuzte Felder sind jedoch möglich.
Würde der Fitnesstracker in der Schweiz eingesetzt werden, müssten die verarbeiteten Gesundheitsdaten zur Vertragserfüllung transparent abgebildet werden & hierfür eine vereinfachte Einwilligung über ein vorangekreuztes Feld eingeholt werden. Gleiches gilt für die Kommerzialisierung der erhobenen Daten.
Jede Lösung ist im Einzelfall angesichts der betroffenen Daten, des Datentransfers, der jeweiligen Empfänger und nicht zuletzt anhand des individuellen „Risikoappetits“ zu beurteilen.
Sollten Sie hierzu Fragen haben, stehen wir jederzeit gerne zur Verfügung.